Pour la 20e année consécutive, les experts de l’Institut Ponemon ont évalué le coût d’une violation de données au sein des entreprises et organisations. Les résultats ont été publiés par le sponsor IBM dans son rapport sur le coût d’une violation de données en 2025. Pour la première fois, le dernier rapport étudie également les risques liés à l’intelligence artificielle.
Commençons par une bonne nouvelle : le coût moyen mondial d’une violation de données a diminué, pour atteindre 4,44 millions de dollars US. Cela représente une baisse de neuf pour cent par rapport aux 4,88 millions de dollars US enregistrés en 2024, principalement attribuable à une détection et une maîtrise plus rapides des failles de sécurité grâce à l’utilisation accrue de l’intelligence artificielle et de l’automatisation dans les processus de sécurité. Le chiffre mondial aurait chuté de manière encore plus marquée si cela n’avait pas été compensé par les tendances aux États-Unis, où le coût moyen a augmenté de neuf pour cent, atteignant 10,22 millions de dollars US. Le rapport souligne que l’augmentation des amendes réglementaires ainsi que des coûts liés à la détection et à la gestion des incidents sont les principaux facteurs responsables de cette hausse des coûts aux États-Unis.
L’IA, une arme à double tranchant
Concernant l’IA, le rapport confirme que les cybercriminels exploitent ces nouvelles technologies pour perfectionner leurs campagnes de phishing et autres attaques d’ingénierie sociale. IBM estime que l’utilisation de l’IA générative permet aux attaquants de réduire le temps nécessaire à la création d’un e-mail de phishing convaincant, passant de 16 heures à seulement cinq minutes. Dans le rapport récent, les chercheurs ont constaté que 16 % des violations impliquaient déjà des cybercriminels utilisant l’IA dans leurs attaques, principalement des attaques de phishing (37 %) ou des attaques par deepfake (35 %).
Pour la réalisation du rapport sur le coût d’une violation de données en 2025, les chercheurs de Ponemon ont interrogé près de 3 500 responsables de la sécurité et dirigeants d’entreprises (niveau C) au sein de 600 organisations affectées par des violations de données entre mars 2024 et février 2025, couvrant 17 secteurs d’activité et 16 pays et régions. L’ampleur des violations variait de 2 960 à 113 620 dossiers compromis.
L’IA fantôme (shadow AI) révélée comme très coûteuse
Pour revenir à l’IA, 13 % de toutes les organisations ont signalé un incident de sécurité impliquant un modèle ou une application d’IA. Et 97 % de ces organisations victimes de violations ont déclaré ne pas disposer de contrôles d’accès adéquats pour l’IA. Ces attaques ont le plus souvent eu lieu via la chaîne d’approvisionnement (applications compromises, API, plug-ins, etc.) et ont entraîné des fuites de données plus étendues (60 %) ainsi que des perturbations opérationnelles (31 %). Sur la base de ces chiffres, Ponemon et IBM prévoient que l’IA deviendra une cible lucrative.
Parallèlement, 63 % des entreprises interrogées n’avaient pas encore mis en place de politiques de gouvernance de l’IA ou étaient encore en train de les élaborer. Moins de la moitié des organisations disposaient de procédures strictes pour le déploiement de l’IA, tandis que 62 % manquaient d’outils automatisés d’évaluation des risques liés à l’IA et seulement 34 % réalisaient régulièrement des audits de sécurité tiers pour les usages non autorisés de l’IA. À noter que l’informatique fantôme (shadow IT) augmente en moyenne le coût d’une violation de données d’environ 200 000 dollars US, et entraîne également plus fréquemment des fuites impliquant des informations personnelles identifiables des clients (65 %) ainsi que la propriété intellectuelle (40 %).
La sécurité des e-mails reste primordiale
Pour la deuxième année consécutive, les coûts moyens les plus élevés parmi les vecteurs d’attaque « classiques » sont dus aux initiés malveillants, avec 4,92 millions de dollars US, suivis de près par les compromissions de tiers fournisseurs et de la chaîne d’approvisionnement (4,91 millions de dollars US). Le phishing et l’exploitation des vulnérabilités comptaient parmi les autres vecteurs d’attaque coûteux. Le phishing, qui a coûté en moyenne 4,8 millions de dollars US aux organisations, était en fait le vecteur d’attaque le plus fréquent, représentant 16 % des cas. Cette tendance souligne l’importance constante de protéger efficacement votre canal de messagerie essentiel à l’entreprise.
Le rapport complet sur le coût d’une violation de données en 2025 est disponible au téléchargement après inscription
